未知网络攻击（尤其是零日攻击）检测是入侵检测系统的重大挑战。监督学习方法对已知攻击类效果好，但无法处理训练数据中未出现的新攻击类型；无监督方法虽能检测未知攻击，但误报率高，限制了实际应用。本文提出UNAD+框架，是对原有UNAD的改进。UNAD+包含三个核心组件：1）仅使用良性样本训练的无监督集成模型，通过加权多数投票（WMV）聚合基检测器结果；2）基于伪标签的监督细化阶段，利用无监督检测输出生成伪标签并训练分类器，以降低误报；3）事后可解释性层，提供局部和全局解释，增强透明度。在CICIDS2017和NSL-KDD基准数据集上的实验表明，UNAD+在保持高检测率的同时，F1分数超过98%，误报率显著低于原始UNAD。集成可解释性使其更适用于实际部署。该研究主要面向网络安全研究人员和入侵检测系统开发者，提供了一种平衡检测率与误报率的未知攻击检测方案。

本文提出 AIRTAG，一个基于无监督学习的自动化攻击调查框架，旨在从原始日志文本中自动识别攻击事件、生成语义标签并定位根因，无需依赖预定义的攻击知识库或规则。现有攻击调查方法通常需要人工定义攻击模式或依赖规则匹配，难以应对新型或变种攻击。AIRTAG 利用预训练语言模型（如 BERT）将日志消息编码为上下文感知的语义向量，通过无监督聚类算法（如 HDBSCAN）将日志分组为不同的事件簇，每个簇代表一个攻击步骤或原子行为。然后利用时间序列分析和图论方法构建事件之间的时序因果关系，最终生成攻击调查图并推断根因。实验在多个公开数据集（如 DARPA TC、OpenStack 日志）上评估，结果表明 AIRTAG 能够有效识别多步攻击链，在真实攻击场景下达到高准确率（F1 分数超过 0.9），并且比现有监督方法具有更好的可迁移性。该工作的主要贡献在于：1) 提出了完全无监督的日志语义理解框架；2) 结合预训练语言模型与聚类、时序推理，实现了对未知攻击的自动调查；3) 公开了原型系统和实验数据，为后续研究提供基准。